image

Privégegevens 100.000 npm-gebruikers gestolen bij aanval in april

vrijdag 27 mei 2022, 11:26 door Redactie, 5 reacties

Bij een aanval in april zijn de privégegevens van 100.000 npm-gebruikers gestolen, waaronder e-mailadressen, wachtwoordhashes en gebruikersnamen. De aanvaller maakte gebruik van OAuth-tokens van Heroku and Travis CI om toegang tot de repositories van npm op GitHub.com te krijgen. Heroku biedt een cloudapplicatieplatform met GitHub-integratie, waarbij programmeurs code die op GitHub staat kunnen uitrollen naar apps die op Heroku draaien.

Ontwikkelaars gebruiken Heroku daarbij als platform voor het uitrollen, beheren en opschalen van applicaties. Voor de communicatie tussen Heroku en GitHub wordt gebruikgemaakt van tokens. Een aanvaller die over een token beschikt kan dezelfde acties uitvoeren als de Heroku-gebruiker en heeft zo ook toegang tot de GitHub-repository van de klant. Door tokens van Heroku te stelen had de aanvaller toegang tot de repositories van tientallen organisaties die een repository op GitHub.com hebben, waaronder npm.

In de repository van npm vond de aanvaller access keys om toegang te krijgen tot npm's infrastructuur die bij Amazon Web Services (AWS) draait. Met de toegang tot de AWS-infrastructuur kon de aanvaller een back-up downloaden met gegevens van 100.000 npm-gebruikers uit 2015. Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Het is eigendom van GitHub.

In de back-up stonden wachtwoordhashes, e-mailadressen en gebruikersnamen. De wachtwoordhashes waren gegenereerd met behulp van PBKDF2 of gesalt en gehasht met het sha-1-algoritme. In een verklaring laat GitHub weten dat deze zwakke hashingalgoritmes sinds 2017 niet meer voor het hashen van wachtwoorden worden gebruikt. Wachtwoorden van getroffen gebruikers zijn gereset. Ook zullen die via e-mail worden ingelicht.

Reacties (5)
27-05-2022, 13:42 door Anoniem
De link van probleem naar Heroku naar npm is mij niet helemaal duidelijk.

Begrijp ik het goed dat (de eigenaar van de repo) npm gebruik maakt van Heroku? Dan zou toegang tot de repo zijn verkregen met een Heroku OAuth token. Of zit het anders?
27-05-2022, 14:04 door Anoniem
Met de toegang tot de AWS-infrastructuur kon de aanvaller een back-up downloaden met gegevens van 100.000 npm-gebruikers uit 2015
Hoe is het mogelijk dat een bron buiten dit domein zomaar gegevens kan downloaden, zonder dat dit wordt opgemerkt en zonder dat er sprake is van voldoende beveiliging voor de outbound?
27-05-2022, 14:35 door Anoniem
wat is 'npm' ??? Dit is wel een erg cryptisch artikel met heel veel 'diep-technische' termen
27-05-2022, 16:36 door Anoniem
Goede vraag: wat is npm?

Als je in javascript ontwikkelt, en je wil dingen die anderen al kant en klaar hebben gemaakt gaan gebruiken. Dan kan je met 'npm install <naam>' zulke software onderdelen installeren.

Er achter zit natuurlijk een website met een lijst van software pakketten. Het wachtwoorden verhaal gaat dus over accounts van mensen die javascript pakketten hebben aangeleverd aan npm. Dus niet zo zeer de ontvangende kant zoals 'npm install', dat kan zonder wachtwoord.
30-05-2022, 10:55 door Anoniem
GitHub in handen van MickeyS0ft. Je verwacht het niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.